Журналист «Новой газеты» Олег Ролдугин арестован по делу об использовании личных данных. Что это за статья и кому она может грозить, ведь люди постоянно так или иначе используют чужие данные.
Дело Ролдугина
Олегу Ролдугину сначала вменяли п. «в» ч. 3 ст. 272.1 УК РФ — это новая статья, введённая в конце 2024 года. Она касается незаконного использования, передачи, сбора или хранения компьютерной информации, содержащей персональные данные, если эти данные были получены через неправомерный доступ или иным незаконным путём. Пункт «в» части 3 — это квалифицирующий признак: деяние совершено группой лиц по предварительному сговору. По этой части максимальная санкция — до 6 лет лишения свободы и штраф до 1 млн рублей.
Именно по этой логике дело на старте выглядело как история про «пробив» и дальнейшее использование персональных данных: по версии следствия, Ролдугин якобы использовал боты для получения информации и затем применял её в материалах. Обыски прошли 9 апреля 2026 года, 10 апреля суд отправил его под стражу.
Но 14 апреля 2026 года в открытых сообщениях появилась уже другая квалификация: ч. 3 ст. 272 УК РФ. Это статья о неправомерном доступе к компьютерной информации. По части 3 речь идёт о таком доступе, если он совершен группой лиц по предварительному сговору, организованной группой или с использованием служебного положения. Максимальная санкция по этой части — до 5 лет лишения свободы.
Разница между статьям существенная
Статья 272.1 бьёт по обороту персональных данных, то есть по использованию, хранению, передаче, сбору таких данных, если они добыты незаконно. Статья 272 бьёт по самому неправомерному доступу к защищённой компьютерной информации. Иными словами, акцент сместился: не столько «ты использовал персональные данные», сколько «ты незаконно получил доступ к информации». Это уже вывод из сравнения текстов двух статей и публичных сообщений по делу.
Почему вокруг 272.1 так много тревоги: это действительно новая и широкая норма, и юристы почти сразу после её появления предупреждали, что она может применяться и против журналистов-расследователей, и против специалистов по безопасности, и против обычных людей, если они случайно узнали что-то не то. Особенно статья опасна для тех, кто работает с утечками, базами и «пробивом».
И тут вопрос: где проходит граница между общественно значимым расследованием и незаконным оборотом или незаконным доступом к данным. Закон о персональных данных даёт журналистике исключения, но на практике это не гарантирует защиту от уголовного преследования.
Статья 272.1 УК РФ шире и опаснее
Она наказывает уже не только того, кто «ломал», но и того, кто использует, собирает, хранит, передаёт или распространяет компьютерную информацию с персональными данными, если она добыта неправомерным доступом или иным незаконным путём. Отдельно в этой статье вынесены в риск те, кто создаёт или поддерживает ресурс, заведомо предназначенный для незаконного хранения или распространения таких данных. Иными словами, в зоне риска не только «хакер», но и покупатель «пробива», посредник, админ бота, владелец сливного канала или человек, который получил базу и пустил её дальше.
Отсюда главный практический вывод: для 272.1 уже не обязательно самому взламывать что-то. Достаточно, чтобы человек работал с незаконно добытым массивом персональных данных: заказал его, получил, сохранил, переслал, выложил или встроил в свою деятельность. Поэтому под риск теоретически попадают не только криминальные сервисы, но и сотрудники компаний, которые «по знакомству» вытаскивают карточку клиента, безопасники и HR, заказывающие «пробив», частные сыщики, а также журналисты, активисты и расследователи, если они системно опираются именно на незаконно добытые базы, а не на открытые и законно полученные источники. Последнее — это уже вывод по смыслу нормы, а не прямое перечисление в законе.
Особенно тяжёлой ситуация становится, если речь идёт о данных несовершеннолетних, о специальных категориях персональных данных или о биометрии. Закон о персональных данных относит к специальным категориям, например, сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни; биометрические данные — это сведения о физиологических и биологических особенностях, по которым можно установить личность. За такие массивы санкции жёстче уже на уровне самой статьи 272.1.
Отягчают риск и такие вещи, как корыстная заинтересованность, крупный ущерб, группа лиц, использование служебного положения, трансграничная передача данных и организованная группа. По статье 272 максимальная санкция доходит до 7 лет лишения свободы, если есть тяжкие последствия или угроза их наступления. По статье 272.1 верхняя планка доходит до 10 лет, если деяние повлекло тяжкие последствия или совершено организованной группой; отдельный квалифицирующий состав есть и для трансграничной передачи либо вывоза носителей с такими данными.
Есть и важное исключение: в примечании к статье 272.1 сказано, что она не распространяется на обработку персональных данных физическими лицами исключительно для личных и семейных нужд. Но это узкий коридор. Как только данные уходят в работу, в публикацию, в телеграм-канал, в коммерческий оборот, клиентский сервис, расследование на заказ или просто к третьим лицам, опора на это исключение становится слабой. Это уже логический вывод из слов «исключительно для личных и семейных нужд».
Рискованные сценарии
По-простому, самые рискованные сценарии сегодня выглядят так: заказать «досье» через бота; получить слитый Excel-файл с клиентской базой и оставить его у себя; переслать такой файл коллеге или журналисту; поднять канал или сайт со сливами; использовать служебный доступ в банке, клинике, операторе связи, госструктуре или маркетплейсе не по регламенту; загрузить незаконно добытый массив в облако — здесь уже может возникнуть и вопрос о трансграничной передаче.
Самое важное разграничение такое: законный OSINT и работа с открытыми источниками — это одно; «пробив», слитые базы и обход установленного порядка доступа — совсем другое.
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций